最高法工作報告：堅決制止大數據殺熟；中資著名手機品牌疑似被黑，11GB內部敏感數據泄露

IT之家 3 月 7 日消息，IT之家從最高人民法院獲悉，最高法工作報告提出，人民法院依法促進數字經濟健康發展。審理大數據權屬交易、公共數據不正當競爭等案件，明確數據權利司法保護規則。懲處濫用數據、算法等排除、限制競爭的行為，堅決制止“大數據殺熟”、強制“二選一”等“店大欺客”行為。規范直播帶貨、付費點播等新業態新模式，保護創新經營，懲處非法逐利。浙江溫州法院積極探索數據資源專業審判機制。北京、天津、上海法院對盜播北京冬奧會、世界杯等行為及時作出禁令，促進優化數字文化市場環境。

去年 10 月 29 日，最高人民法院發布《關于加強新時代知識產權審判工作為知識產權強國建設提供有力司法服務和保障的意見》（以下簡稱《意見》）。《意見》提出，要加強對平臺企業壟斷的司法規制，依法嚴懲平臺強制“二選一”“大數據殺熟”等破壞公平競爭、擾亂市場秩序行為。《意見》還要求加強互聯網領域和大數據、人工智能、基因技術等新領域新業態知識產權司法保護，完善算法、商業方法和人工智能產出物知識產權司法保護規則；加強涉數據云存儲、數據開源、數據確權、數據交易、數據服務、數據市場不正當競爭等案件審理和研究，切實維護數據安全；要依法適用懲罰性賠償，加大知識產權侵權損害賠償力度和對侵權行為懲治力度，及時有效阻遏侵權行為。

IT之家注意到，事實上我國早就決定針對大數據殺熟等行為進行立法。去年 8 月，個人信息保護法草案出爐，其中就對“大數據殺熟”等行為作出針對性規范。

中資著名手機品牌疑似被黑，11GB內部敏感數據泄露

地下數據泄露市場用戶聲稱，成功通過故障和錯誤獲得了摩托羅拉移動的JIRA系統備份控制面板訪問權限，并竊取了約11GB數據。

安全內參3月7日消息，一家數據泄露市場的用戶LeakBase宣稱，已成功通過故障和錯誤獲得了中資背景的美國摩托羅拉公司JIRA系統的備份控制面板訪問權限。

據用戶LeakBase透露，外泄的數據包括管理面板（即管理后臺）數據，以HTML格式導出并帶有截屏內容。該用戶還提到，數據包含多種文件格式，總大小約為11 GB。

通過對泄露網站上共享的數據進行初步分析，分析師發現信息內容真實有效。外媒Cyber Express已經就此事向摩托羅拉發出置評請求。

自2022年3月以來，用戶LeakBase就一直活躍在該泄露論壇上。Cyber Express之前曾經報道過這名網站成員的多篇帖子，比如涉及德國托管IT服務商BITMARCK、美國互聯網營銷服務商Purecars等。

此次最新網絡安全事故的突破口，正是摩托羅拉公司使用的JIRA軟件（由澳大利亞軟件公司Atlassian開發的應用程序）。

摩托羅拉移動的網絡威脅狀況

摩托羅拉公司曾是一家總部位于美國的跨國電信巨頭。但在2007年至2009年遭受數十億美元虧損之后，該公司于2011年拆分為兩家獨立的上市企業，分別為摩托羅拉移動和摩托羅拉解決方案。

作為重組計劃的一部分，摩托羅拉移動被拆分出來，在2014年被中國科技企業聯想收購，并仍以摩托羅拉品牌生產其產品。

目前，摩托羅拉移動是聯想集團的子公司，主要制造消費級電子產品，例如智能手機和其他基于Android系統的移動設備。

根據泄露網站的數據，此次流出的信息來自摩托羅拉移動。樣本數據中提到的網站motorola.com是摩托羅拉移動公司的零售門戶。

這不是摩托羅拉移動近期唯一的安全事故。2022年6月，安全廠商Checkpoint發現中國芯片制造商紫光展銳生產的Tiger T700芯片存在漏洞，而2021年銷售的Moto G20、E30和E40設備采用的正是這款芯片。

當蜂窩調制解調器嘗試接入LTE網絡，且調制解調器的連接處理程序無法驗證有效用戶ID（例如國際移動用戶識別碼IMSI）時，就會觸發該漏洞，導致讀取零數字字段時發生堆棧溢出。一旦遭到利用，此漏洞可能導致拒絕服務攻擊甚至允許遠程代碼執行。

研究人員表示，尚不清楚其它紫光展銳應用處理器芯片是否也使用搭載相同固件的同款基帶調制解調器。

JIRA的歷史漏洞和安全問題

JIRA可幫助用戶團隊跟蹤問題、管理項目并實現工作流程自動化。今年1月，Atlassian在發現JIRA軟件易受網絡攻擊后發出了警報。

該公司表示，當時發現的JIRA軟件漏洞可能允許黑客在受影響系統上遠程執行任意代碼。

相關披露說明稱，“在JIRA Service Management Server and Data Center中發現的身份驗證漏洞，允許攻擊者在特定情況下冒充為另一用戶，并獲得對JIRA Service Management 實例的訪問權限。”

2022年10月，網絡安全廠商Bishop Fox又報告了JIRA Align中的兩個漏洞。這些漏洞可能允許未經授權者訪問管理員區域，并威脅到Atlassian公司的云基礎設施。

其中一個漏洞為服務器端請求偽造（SSRF）缺陷，可能允許用戶檢索Atlassian服務賬戶的AWS憑證；另一缺陷來自用戶授權機制，允許獲得對JIRA Align租戶的管理員控制權。

研究人員發現，這些漏洞組合可能導致針對Atlassian云基礎設施的重大攻擊。

發現該漏洞的Bishop Fox公司安全顧問Jake Shafer解釋道，通過利用授權漏洞，低權限用戶可以將其角色升級為超級管理員，進而獲取對客戶JIRA部署中全部內容的訪問權限。